DPA / TASS
У группы хакеров Fancy Bear много имен – APT28, Sofacy, Pawn Storm и даже Tzar Team, но специалисты компании Eset, международного разработчика антивирусов и решений в области защиты от киберпреступности, в опубликованном в четверг отчете называют эту группу Sednit. Впервые деятельность Fancy Bear была замечена еще в 2004 году, но группа значительно активизировалась за последние пару лет, в течение которых хакеры взломали немецкий парламент, французскую телесеть TV5Monde, Национальный комитет Демократической партии США и Всемирное антидопинговое агентство. Власти США называют этих хакеров российскими и уверены, что за ними стоят спецслужбы. Кремль это отрицает, а Владимир Путин уже несколько раз говорил, что происхождение хакеров – не так важно, как та информация, которую им удается добыть.
Специалисты Eset в 40-страничном документе рассказывают, как хакеры из группы Fancy Bear атаковали своих жертв. Вопрос о том, откуда эта группа взялась – почти не поднимается: в отчете лишь упоминается о ее вероятных российских корнях и говорится, что к этой версии специалистам Eset нечего добавить. Зато они приходят к выводу, что используемые группой уязвимости свидетельствуют о наличии у хакеров «значительных ресурсов» – либо времени и знаний, чтобы эти уязвимости находить, либо денег, чтобы покупать программы для атак.
Оплошность дала зацепку
Хакеры Sednit используют несколько видов атак. Один из самых часто используемых – рассылка фишинговых писем с целью завладеть персональными данными жертв (например, паролями от почтовых ящиков). Такие атаки достаточно стандартны: в письме содержится ссылка, перейдя по которой человек оказывается на фальшивой странице, в точности повторяющей официальную. Попадая туда, пользователь получает предложение ввести пароль. Как выяснили специалисты Eset, большинство жертв, которых атаковали хакеры, пользовались почтой Gmail. Перейдя по ссылке они оказывались на с виду обычной странице Google, где им предлагалось заново ввести пароль.
В ходе таких фишинговых кампаний хакеры использовали сервис для сокращения ссылок Bitly. Это позволяло им дополнительно маскировать ссылки на фишинговые сайты, адреса которых хоть и до смешения похожи на официальные, но все же отличаются. Каждая ссылка, которая посылалась жертвам, была уникальна: она содержала в себе почтовый адрес и имя жертвы – это позволяло фальшивому сайту автоматически подставлять имя человека в форму для ввода пароля. Для сокращения большого числа ссылок хакеры использовали несколько аккаунтов Bitly, но один из них, вероятно по ошибке, оказался не закрытым, а публичным. Так специалисты Esset смогли обнаружить потенциальных жертв Fancy Bear: только за несколько месяцев 2015 года хакеры отправили 4400 фишинговых писем, некоторые пользователи получали их по нескольку раз, а всего в рассылке хакеров было 1888 адресов.
